MITM su siti popolari - DNS

È possibile eseguire lo spoofing ARP per fare in modo che le vittime inviino query DNS all'utente (l'utente malintenzionato). Puoi quindi rispondere con record di tipo A DNS con un indirizzo IP che controlli. La convalida del certificato SSL, tuttavia, fallirà perché non potrai impersonare come Facebook quando esegui la definizione della chiave SSL.

Supponiamo che Victim A abbia il router wireless Linksys standard disponibile che, per impostazione predefinita, non ha la crittografia abilitata sulla rete wireless che trasmette. Supponiamo che Victim A non abbia mai cambiato la password di amministrazione predefinita per accedere all'interfaccia web del router per modificare le impostazioni (di solito admin, admin).

Queste due situazioni sono estremamente comuni. Tutto ciò che l'attaccante A deve fare è impostare un server DNS e web canaglia sul suo laptop che è stato collegato alla rete wireless di Victim A, aggiungere gli indirizzi di inoltro nel suo server DNS canaglia (come il DNS pubblico di Google di 8.8.8.8 e 8.8.4.4 ) in modo che tutti gli altri domini che Victim A tenta di visitare siano ancora risolvibili al loro corrispondente indirizzo IP pubblico, quindi aggiungono una zona di ricerca diretta per fb.com e facebook.com . Ognuna di queste 2 zone avrà bisogno di un record A per il dominio radice e un record A per www , entrambe le quali puntano all'indirizzo IP locale di Attacker A di 192.168.1.1 . L'attaccante A accede quindi all'interfaccia web del router (l'indirizzo gateway predefinito, in genere 192.168.1.1 per Linksys). Da lì, l'attaccante A modifica le impostazioni DNS dell'ISP sull'interfaccia WAN dalle impostazioni ottenute tramite DHCP dall'ISP all'indirizzo LAN locale del suo laptop (ad esempio, 192.168.1.101 ).

Ora, sul server web locale di Attacker A, prende i fogli di stile CSS di Facebook e il modulo di login con wget o qualsiasi altro strumento di mirror dei siti Web, quindi inietta alcuni PHP nella pagina scaricata che salva un file di testo nella root del suo server web locale directory che registra qualsiasi nome utente e password inviati tramite il modulo. Ricorda che questo modulo sembra esattamente come il modulo di accesso di Facebook. Da lì, l'attaccante inoltra queste informazioni al sito reale di Facebook e registra l'utente in modo che l'utente non sappia nemmeno cosa è successo.

Quando Victim A visita fb.com , facebook.com , www.fb.com o www.facebook.com , l'indirizzo IP con risoluzione come indirizzo LAN del computer portatile di Attacker A di 192.168.1.101 dato la cache DNS di Victim A è stata cancellata dopo un periodo di tempo.

Come accennato, l'unico svantaggio è che se il Vittima A ha un segnalibro di s : //facebook.com, il processo sarà estremamente (ph) ishy, in quanto Victim A riceverà un avviso di certificato non valido . Inoltre, tieni presente che l'attaccante non deve attenerti a questo intero processo se configura un DNS e un server Web illegali su un IP pubblico, inoltra le porte 53 e 80 sul suo firewall e imposta l'indirizzo DNS del router di Victim A a IP pubblico dell'attacker A.

Sì, puoi "dire" conosci l'IP di fb.com, ma dai il tuo. - Ho dimenticato come viene chiamato l'attacco al momento:)

Puoi fingere di essere Facebook in quanto hai una pagina web che assomiglia a Facebook (e usa qualcosa come SSLStrip per fermare i reindirizzamenti automatici su HTTPS), ma se il client FORCES usa SSL, non puoi falsificare il certificato di Facebook. È questo che stai chiedendo?